使用OpenSSL如何针对一个证书(而不是整个链)验证时间戳令牌
使用OpenSSL针对一个证书验证时间戳令牌的过程如下:
- 首先,确保你已经安装了OpenSSL工具包,并且可以在命令行中使用。
- 获取证书和时间戳令牌文件。证书文件通常具有.pem或.crt扩展名,时间戳令牌文件通常具有.tst扩展名。
- 打开命令行终端,并导航到证书和时间戳令牌文件所在的目录。
- 使用以下命令验证证书的时间戳令牌:
- 使用以下命令验证证书的时间戳令牌:
- 其中,
<data_file>是要验证的数据文件,可以是任何二进制文件;<timestamp_token_file>是时间戳令牌文件的路径;<certificate_file>是证书文件的路径。 - 例如:
- 例如:
- 执行命令后,OpenSSL将验证时间戳令牌的有效性,并输出验证结果。如果时间戳令牌有效,将显示验证成功的消息;否则,将显示验证失败的消息。
在这个过程中,OpenSSL使用证书文件来验证时间戳令牌的签名,并使用时间戳令牌文件中的时间戳信息来验证证书的有效性。这样可以确保证书在特定时间之前是有效的。
推荐的腾讯云相关产品:腾讯云SSL证书服务。腾讯云SSL证书服务提供了一站式的证书管理解决方案,包括证书申请、部署、续期等功能。您可以通过腾讯云SSL证书服务轻松管理和保护您的证书,确保您的网站和应用程序的安全性。
产品介绍链接地址:腾讯云SSL证书服务
相关·内容
我正在尝试验证OpenSSL (v1.1.1a)中时间戳令牌中的签名,只验证签名证书,而不验证完整的链(带有标志-partial_chain)。我正在使用 openssl ts -verify -partial_chain -in ~/Desktop/dgn/token-der.txt -token_in -digest bcbfcee484a9b24
浏览 12提问于2019-01-25得票数 0
回答已采纳
使用openssl (),我可以创建ts查询、回复、从回复中提取令牌并验证RFC3161格式的令牌(如果我有以下所指定的DER格式的签名证书):openssl ts -query问题1:
为什么这只需要信任锚(=自签名)证书,而不需要到TSA证书的整个链(或者-verify只使用令牌中包含证
浏览 8提问于2021-02-04得票数 0
回答已采纳
因此,我的问题是,如何在课本上验证受信任的时间戳?验证令牌是否已为有关数据发出,并且令牌的颁发证书在该令牌发出时是有效的和可信的。但在CRLs方面,这两个步骤似乎都存在相当大的问题:
对于第一步,您需要对信任中的每个证书拥有历史CRL记录(在时间戳时有效)(这反过来意味着对于每个时间戳,还应该存储当前CRLs,否则将来<
浏览 0提问于2021-02-16得票数 2
Im混淆了OpenSSL验证标志PKCS7_NOCHAIN的含义。它的定义是:
通常,验证通过验证颁发者&#x
浏览 3提问于2020-05-20得票数 1
1回答
给定stackoverflow.com证书链如下:这是因为在TLS握手过程中,中间CA出现在服务器链中吗还是链中的所有
浏览 4提问于2020-05-05得票数 0
回答已采纳
1回答
我目前正在编写一个程序:使用此计算的散列和自签名CA证书来使用openssl密码库创建CMS签名。使用openssl库验证签名,另外检查嵌入在签名中的SHA256哈希是否与新计算的相同数据的散列匹配。
这个部分正在工作,我能够创建一个签名并验证它。现在我的问题是,签名应该在多年内有效,并且很可能在CA证书过期后才有效。我理解为
浏览 0提问于2022-05-31得票数 1
回答已采纳
我需要使用OpenSSL验证客户端证书。但是,我没有根证书(只有可信的中间证书)。我开始研究如何做到这一点,并找到了几个链接:
从最深嵌套级别(根CA证书)开始检查证书链,然后向上工作
浏览 2提问于2017-03-02得票数 1
回答已采纳
1回答
OpenSSl证书管理
、、、、
我正在尝试完成整个请求/验证受信任时间戳的过程。我正在使用一个TSA服务器,并且能够创建一个有效的时间戳请求。我知道它是有效的,因为tsa所有者有一个专门用于时间戳请求验证的网页。无论如何,我必须以编程的方式完成这个过程,所以我使用openssl来验证:
openssl</e
浏览 0提问于2019-07-05得票数 0
我想使用java 工具的时间戳选项。我想到的时间戳服务需要身份验证。为此,您将在时间戳服务器上获得一个个性化的软令牌来标识您自己。有一个选项-tsacert为jarsi
浏览 0提问于2013-02-28得票数 5
3回答
我有几个时间戳令牌文件,我认为应该将TSA证书嵌入其中,因为当我使用TimeStampClient请求时,选择了"Request证书“选项。现在,我想用下面这样的命令行使用openssl验证它们:
openssl.exe ts -verify -data file.zip -in token.tst -token_in -CAfile certificate.cer顺便说一句,我认为为了真正的验证<
浏览 0提问于2017-09-05得票数 2
回答已采纳
摘要如何在我的服务器上使用PHP“使用证书验证JWS消息的签名”?官方医生有4分:
message.Validate 从JWS message.Check证书链中提取SSL证书链,并使用主机名匹配验证叶子证书是否已颁发给主机名attest.android.co
浏览 9提问于2020-04-12得票数 1
回答已采纳
2回答
openssl证书链输出
、、、
本段讨论的事实是,服务器在SSL握手过程中并不总是返回整个证书链,通常只返回服务器证书和链的根CA。该链使用openssl:openssl s_client -connect egov.uscis.gov:443显示。这让我有些怀疑:
该段指出,浏览器为了管理此服务器配置,只需在访问具有完整证书链的服务器中的站点时缓存中间CA,而当浏览器访问服务器中只提供“叶”和“根”证书
浏览 0提问于2018-09-27得票数 1
1回答
制作openssl列表根CA证书
、、、、
我希望openssl在执行时列出整个证书链,包括根CA:然而,情况并非如此。深度2证书根CA证书不包括:CONNECTED(00000005)
depth=2 OU04:00:00:00:00:01:0F:86:26:E6:0D是在浏览器中检查ww
浏览 0提问于2020-12-21得票数 1
回答已采纳
2回答
我正在尝试使用openssl s_client测试我的证书和服务器证书是否正常工作。openssl s_client -cert mycert -key mykey -CAfile CA.cert -connect host:name
但是这个工具只允许你出示我的证书,而不是整个链条。如果服务器仅信任根CA,而不是所有中间CA,则此命令将失败。是否有人知道如何解决此问题,即
浏览 7提问于2011-08-26得票数 4
回答已采纳
1回答
我很难理解使用openSSL进行签名和验证的过程。openssl genrsa -out key.pemopenssl genrsa -pubou
浏览 0提问于2018-06-20得票数 2
1回答
我想不出如何在web.py应用程序上正确设置SSL证书链.openssl连接,如下所示:..it只显示域的证书,而不显示链的其余部分,并且输出包含错误消息:
验证error:num=20:unable以获得本地颁发者证书,验证error:num=21:unable以验证第<
浏览 10提问于2017-05-04得票数 0
回答已采纳
1回答
我提取了以PKCS#7格式的ASN1,我想验证它的证书链(这意味着每个证书都由上面的证书从根到叶正确地签名)。在openssl中,有以下API: STACK_OF(X509) *certs,, BIO *out, 但是,我没有可信的证
浏览 0提问于2018-11-07得票数 1
回答已采纳
1回答
到目前为止,我清楚地知道:如果代码签名证书本身过期,签名代码将被验证/接受,以防它用时间戳签名。如果没有,签名的代码也将过期。是否必须仍然存在过期的根和颁发CA证书(例如,在受信任的根ca证书存储区中)?这是我的假设,即使CA可能被降级,执行签名的客户端仍然必须信任CA?否则信任链就会被打破,对吧?
缺乏CRL或AIA会带
浏览 0提问于2017-10-17得票数 13
我有一个新购买的GeoTrust域证书和一个匹配的CA文件,并希望验证与openssl。从本页:
链中每个证书的颁发者应与链中下一个证书的主题匹配。可以使用以下命令查看.pem或base64格式的证书。/cps(C)15/OU=域控制验证-QuickSSL(注册商标)/CN=sub.domain.com错误20在0深度查找:无法获得本
浏览 1提问于2015-03-04得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
